DE102016112278A1 - Method for establishing a failover in a network - Google Patents

Method for establishing a failover in a network Download PDF

Info

Publication number
DE102016112278A1
DE102016112278A1 DE102016112278.5A DE102016112278A DE102016112278A1 DE 102016112278 A1 DE102016112278 A1 DE 102016112278A1 DE 102016112278 A DE102016112278 A DE 102016112278A DE 102016112278 A1 DE102016112278 A1 DE 102016112278A1
Authority
DE
Germany
Prior art keywords
server
client
certificate
reserve
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102016112278.5A
Other languages
German (de)
Inventor
Augustinus Gerrits
Oswald Ludwig
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
MTG AG, DE
Original Assignee
MEDIA TRANSFER AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by MEDIA TRANSFER AG filed Critical MEDIA TRANSFER AG
Priority to DE102016112278.5A priority Critical patent/DE102016112278A1/en
Priority to EP17179815.0A priority patent/EP3267619B1/en
Publication of DE102016112278A1 publication Critical patent/DE102016112278A1/en
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)

Abstract

Verfahren zur Herstellung einer Ausfallsicherung in einem Netzwerk umfassend einen Client (1), einen ersten Server (2) und einen zweiten Server (3), wobei das Verfahren mindestens die folgenden Schritte umfasst: Einmalige Übermittlung eines Hauptzertifikats (8), das dem ersten Server (2) zugeordnet ist, und mindestens eines Reservezertifikats (9), das dem zweiten Server (3) zugeordnet ist, an den Client (1), Stellung einer Anfrage des Clients (1) an den ersten Server (2), wobei nach erfolgreicher Anfrage des Clients (1) an den ersten Server (2) sich der erste Server (2) gegenüber dem Client (1) als Inhaber des Hauptzertifikats (8) authentifiziert, und wobei bei nicht erfolgreicher Anfrage des ersten Servers (2) der Client (1) eine Anfrage an den zweiten Server (3) stellt und der zweite Server (3) sich gegenüber dem Client (1) als Inhaber des Reservezertifikats (9) authentifiziert. Nach erfolgreicher Authentifizierung gegenüber dem Client (1) wird durch den ersten Server (2) beziehungsweise den zweiten Server (3) eine gesicherte Verbindung zwischen dem Client (1) und dem ersten Server (2) beziehungsweise dem zweiten Server (3) zur Übertragung von Nutzdaten aufgebaut.A method for establishing a failover in a network comprising a client (1), a first server (2) and a second server (3), the method comprising at least the following steps: transmission of a primary certificate (8) once to the first server (2), and at least one backup certificate (9) associated with the second server (3) to the client (1), making a request from the client (1) to the first server (2), upon successful completion Request of the client (1) to the first server (2) the first server (2) authenticates itself to the client (1) as the owner of the main certificate (8), and if the first server (2) fails, the client ( 1) makes a request to the second server (3) and the second server (3) authenticates itself to the client (1) as the owner of the backup certificate (9). After successful authentication to the client (1) by the first server (2) or the second server (3) a secure connection between the client (1) and the first server (2) or the second server (3) for the transmission of Built user data.

Description

Die vorliegende Erfindung betrifft ein Verfahren zur Herstellung einer Ausfallsicherung in einem Netzwerk umfassend einen Client, einen ersten Server und einen zweiten Server, wobei der Client zunächst auf einen ersten Server und beim Ausfall des ersten Servers auf einen zweiten Server zugreift. The present invention relates to a method for establishing a failover in a network comprising a client, a first server and a second server, wherein the client first accesses a first server and the failure of the first server accesses a second server.

Aus dem Stand der Technik sind Systeme bekannt, in denen Netzwerkteilnehmer ihre Identität mittels digitaler Zertifikate nachweisen. Die Ausstellung des Zertifikats erfolgt durch eine üblicherweise offizielle Zertifizierungstelle, eine Certification Authority (CA), der die Teilnehmer vertrauen. Ein Zertifikat enthält in der Regel Informationen zum Inhaber des Zertifikats und zur Gültigkeitsdauer des Zertifikats sowie einen öffentlichen Schlüssel des Inhabers des Zertifikats. Der Inhaber des Zertifikats besitzt darüber hinaus einen zum öffentlichen Schlüssel passenden privaten Schlüssel. Öffentliche und private Schlüssel kommen in asymmetrischen Kryptographiesystemen zur Verwendung. Als Inhaber des Zertifikats wird derjenige bezeichnet, der sich mittels des Zertifikats und des zugehörigen privaten Schlüssels authentifizieren kann. Systems are known in the prior art in which network participants prove their identity by means of digital certificates. The certificate is issued by a usually official certification body, a Certification Authority (CA), which the participants trust. A certificate usually contains information about the holder of the certificate and the period of validity of the certificate as well as a public key of the holder of the certificate. The holder of the certificate also has a private key matching the public key. Public and private keys are used in asymmetric cryptographic systems. The holder of the certificate is the one who can authenticate himself by means of the certificate and the associated private key.

Mit dem privaten Schlüssel kann er eine digitale Nachricht, die mit seinem öffentlichen Schlüssel verschlüsselt wurde, wieder entschlüsseln. Eine mit seinem privaten Schlüssel verschlüsselte, bzw. signierte Nachricht kann mit Hilfe des öffentlichen Schlüssels wieder entschlüsselt werden. Mit Hilfe des Schlüsselpaars bestehend aus dem öffentlichen und dem privaten Schlüssel kann sich der Inhaber des Schlüsselpaars beispielsweise gegenüber jedem, der das Zertifikat und damit auch den öffentlichen Schlüssel besitzt, authentifizieren sowie eine verschlüsselte Kommunikation durchführen. With the private key, he can decrypt a digital message that has been encrypted with his public key. A message encrypted or signed with its private key can be decrypted using the public key. With the help of the key pair consisting of the public and the private key, for example, the owner of the key pair can authenticate himself to anyone who owns the certificate and thus also the public key, as well as perform an encrypted communication.

Eine Nachricht, die ein Sender mit dem öffentlichen Schlüssel des Empfängers verschlüsselt, kann nur von dem vorgesehenen Empfänger mit dessen privaten Schlüssel entschlüsselt werden, so dass eine verschlüsselte Kommunikation zwischen dem Sender und dem Empfänger möglich ist. Eine Nachricht, die der Sender mit seinem privaten Schlüssel verschlüsselt, kann von jedem beliebigen Empfänger, der den öffentlichen Schlüssel besitzt, entschlüsselt werden, so dass der Sender authentifiziert werden kann. Dabei muss die authentifizierbare Nachricht nicht notwendigerweise zusätzlich nur für einen einzigen Empfänger mit dessen öffentlichen Schlüssel verschlüsselt sein. A message encrypting a sender with the public key of the recipient can only be decrypted by the intended recipient with his private key, so that an encrypted communication between the sender and the receiver is possible. A message that the sender encrypts with his private key can be decrypted by any recipient who owns the public key so that the sender can be authenticated. In addition, the authenticatable message does not necessarily have to be additionally encrypted for just one recipient with its public key.

Es sind verschiedene Verfahren und standardisierte Protokolle bekannt, bei denen mit Hilfe eines solchen Schlüsselpaars eine bei Bedarf vertrauliche Kommunikation zwischen jeweils authentifizierbaren Teilnehmern durchgeführt werden kann. Jeder Teilnehmer kann und muss dazu seinen öffentlichen Schlüssel an andere Teilnehmer verteilen. Seinen privaten Schlüssel muss er hingegen geheim halten. Der private Schlüssel kann sowohl zur Verschlüsselung und Entschlüsselung von Nachrichten als auch zur Signierung von Nachrichten und zur Authentifizierung, also zur Sicherstellung der Identität des Teilnehmers, verwendet werden. Die in der Praxis verwendeten Verschlüsselungsprotokolle Transport Layer Security (TLS) oder dessen Vorgänger Secure Sockets Layer (SSL) sind Beispiele für solche standardisierten Protokolle, die häufig zur sicheren Kommunikation zwischen Teilnehmern eines digitalen Netzwerkes eingesetzt werden. Various methods and standardized protocols are known, in which with the help of such a key pair a confidential communication can be carried out if necessary between each authentifiable participants. Each participant can and must distribute his public key to other participants. On the other hand, he has to keep his private key secret. The private key can be used both for encrypting and decrypting messages as well as for signing messages and for authentication, ie to ensure the identity of the subscriber. The Transport Layer Security (TLS) or its predecessor Secure Sockets Layer (SSL) encryption protocols are examples of such standardized protocols that are often used for secure communication between users of a digital network.

Dabei werden in der Regel softwarebasierte Lösungen und Module verwendet, bei denen der öffentliche Schlüssel und der private Schlüssel des Schlüsselpaars in Form von digitalen Dateien vorliegen. Der private Schlüssel kann somit oftmals ungehindert vervielfältigt werden, so dass es eine wichtige und notwendige Aufgabe eines Besitzers eines solchen Schlüsselpaars ist, den privaten Schüssel vor einem unbefugten Zugriff zu schützen. Allerdings kann der Besitzer auf diese Weise auch eine Sicherungskopie des privaten Schüssels herstellen, um bei einer ungewollten Beschädigung oder einem Verlust des originalen privaten Schlüssels die Sicherungskopie zu verwenden. It typically uses software-based solutions and modules in which the public key and the private key of the key pair are in the form of digital files. The private key can thus often be freely duplicated, so that it is an important and necessary task of an owner of such a key pair to protect the private key from unauthorized access. However, the owner can also make a backup copy of the private bowl in this way to use in case of accidental damage or loss of the original private key backup copy.

Um die Geheimhaltung eines Schlüssels sicherzustellen, werden Computersysteme, insbesondere Server im Internet, in zunehmendem Maße mit sogenannten Hardware-Sicherheitsmodulen (HSM) ausgestattet. Ein Hardware-Sicherheitsmodul ist ein internes oder externes Peripheriegerät, das die sichere Speicherung von Schlüsseln ermöglicht und eine effiziente und sichere Ausführung kryptographischer Operationen erlaubt. Zu diesem Zweck können auch Programmmodule in dem Hardware-Sicherheitsmodul implementiert sein, mit denen beispielsweise eine Verschlüsselung oder Entschlüsselung von Daten mit dem in dem Hardware-Sicherheitsmodul gespeicherten Schlüssel vorgenommen werden kann, ohne dass der Schlüssel aus dem Hardware-Sicherheitsmodul heraus übertragen oder extern genutzt werden muss. Somit kann sichergestellt werden, dass die sicherheitsrelevanten kryptographischen Operationen, die beispielsweise ein Server ausführt, nicht manipuliert oder überwacht werden können. Typischerweise werden deshalb die privaten Schlüssel, die einem Server zugeordnet sind, innerhalb des Hardware-Sicherheitsmoduls gespeichert. To ensure the secrecy of a key, computer systems, especially servers on the Internet, increasingly equipped with so-called hardware security modules (HSM). A hardware security module is an internal or external peripheral device that provides secure key storage and allows efficient and secure execution of cryptographic operations. For this purpose, program modules can also be implemented in the hardware security module with which, for example, an encryption or decryption of data can be performed with the key stored in the hardware security module without the key being transferred out of the hardware security module or used externally must become. Thus, it can be ensured that the security-relevant cryptographic operations, which, for example, a server executes, can not be manipulated or monitored. Typically, therefore, the private keys associated with a server are stored within the hardware security module.

Die privaten Schlüssel sind in den meisten Hardware-Sicherheitsmodulen solchermaßen gespeichert, dass sie nicht unbefugt manipuliert oder kopiert werden können. Wird versucht, die Schlüssel trotzdem auszulesen, so werden diese zerstört. Dieses Verhalten ist gewollt, denn nur so kann sichergestellt werden, dass bei Hackerangriffen oder bei einem physischen Zugriff auf das Hardware-Sicherheitsmodul die geheimen Schlüssel nicht entwendet werden können. Bei einem Ausfall des Hardware-Sicherheitsmoduls ist aber auch der geheime Schlüssel durch den zugehörigen Server nicht mehr verwendbar, da dieser Schlüssel nur einmalig vorhanden ist. Das davon betroffene Schlüsselpaar kann nicht mehr verwendet werden, so dass auch jegliche Kommunikation unmöglich wird, die auf dieses Schlüsselpaar aufbaut. Es sind auch Hardware-Sicherheitsmodule bekannt, bei denen die darin gespeicherten Schlüssel üblicherweise weder manipuliert oder ausgelesen und kopiert werden können, bei denen jedoch unter außergewöhnlich hohen Sicherheitsvoraussetzungen ein Zugriff auf einen dort gespeicherten Schlüssel möglich ist. Ein solcher Zugriff ist jedoch ausschließlich besonders vertrauenswürdigen Teilnehmern möglich und mit derart hohen Sicherheitsanforderungen verbunden, dass auch diese Hardware-Sicherheitsmodule als zuverlässig gegenüber unbefugten Manipulationen und Kopieren von darin gespeicherten Schlüsseln angesehen werden. Hardware-Sicherheitsmodule bzw. Speicher mit den vorangehend beschriebenen Eigenschaften werden als nicht auslesefähig bezeichnet. The private keys are stored in most hardware security modules so that they can not be manipulated or copied without authorization. If you try to read the keys anyway, they will be destroyed. This behavior is intentional, as this is the only way to ensure that the secret keys can not be stolen during hacker attacks or during physical access to the hardware security module. In case of failure of the hardware security module but also the secret key is no longer usable by the associated server, since this key is present only once. The affected key pair can no longer be used so that any communication based on this key pair becomes impossible. Hardware security modules are also known in which the keys stored therein can usually neither be manipulated or read out and copied, but in which, under exceptionally high security requirements, access to a key stored there is possible. However, such access is possible only to particularly trustworthy subscribers and is associated with such high security requirements that these hardware security modules are also regarded as reliable against unauthorized manipulation and copying of keys stored therein. Hardware security modules or memories with the properties described above are referred to as not readable.

Dies stellt jedoch auch ein großes Risiko in Client-Server-Systemen dar, in denen der Client nur einen Server und dessen Zertifikat kennt. Der Client erwartet, dass sich der Server nur mit dem dem Client bereits bekannten Zertifikat des Servers authentifiziert. Ist das Hardware-Sicherheitsmodul beschädigt und nicht mehr zu benutzen, so wird die Authentifizierung des Servers aufgrund des fehlenden privaten Schlüssels unmöglich. Der Client muss gegebenenfalls auf einen anderen Server ausweichen, der verfügbar ist, und kann nach einem Austauschen der notwendigen Informationen diesen zweiten Server authentifizieren und eine sichere Kommunikation mit diesem zweiten Server durchführen. Der Wechsel zu einem anderen, bzw. zweiten Server ist mit Aufwand verbunden und erfordert häufig eine Interaktion mit einem Nutzer der Kommunikation. Falls der Client jedoch eine hardwaremäßig vorgegebene Kommunikationseinheit mit einem fest vorgegebenen Zertifikat eines bestimmten Servers aufweist, wäre ein nachträglicher Wechsel auf einen zweiten Server nicht möglich. However, this also poses a great risk in client-server systems in which the client knows only one server and its certificate. The client expects the server to authenticate only with the server's already known certificate of the client. If the hardware security module is damaged and no longer usable, authentication of the server becomes impossible due to the missing private key. The client may need to switch to another server that is available and, after exchanging the necessary information, can authenticate this second server and securely communicate with that second server. Moving to another or second server is time-consuming and often requires interaction with a user of the communication. However, if the client has a hardware-based communication unit with a fixed specified certificate of a particular server, a subsequent change to a second server would not be possible.

Die Aufgabe der vorliegenden Erfindung ist es deshalb, ein Verfahren bereitzustellen, das es einem Client ermöglicht, auch im Falle eines Ausfalls eines Servers bzw. dessen Hardware-Sicherheitsmoduls ohne einen individuellen Benutzereingriff mit einer authentifizierten Gegenstelle zu kommunizieren. The object of the present invention is therefore to provide a method which enables a client to communicate with an authenticated remote station even in the event of a failure of a server or its hardware security module without individual user intervention.

Die Aufgabe wird gelöst durch ein Verfahren zur Herstellung einer Ausfallsicherung in einem Netzwerk umfassend einen Client, einen ersten Server und einen zweiten Server, wobei das Verfahren mindestens die folgenden Schritte umfasst: Einmalige Übermittlung eines Hauptzertifikats, das dem ersten Server zugeordnet ist, und mindestens eines Reservezertifikats, das dem zweiten Server zugeordnet ist, an den Client, Stellung einer Anfrage des Clients an den ersten Server, wobei nach erfolgreicher Anfrage des Clients an den ersten Server sich der erste Server gegenüber dem Client als Inhaber des Hauptzertifikats authentifiziert, und wobei bei nicht erfolgreicher Anfrage des ersten Servers der Client eine Anfrage an den zweiten Server stellt und der zweite Server sich gegenüber dem Client als Inhaber des Reservezertifikats authentifiziert. The object is achieved by a method for establishing a fail-over in a network comprising a client, a first server and a second server, the method comprising at least the following steps: transmission of a primary certificate assigned to the first server once and at least one Reserve certificate, which is assigned to the second server, to the client, making a request from the client to the first server, wherein after successful request of the client to the first server, the first server authenticates to the client as the owner of the main certificate, and where not successful request of the first server, the client makes a request to the second server and the second server authenticates itself to the client as the owner of the backup certificate.

Somit kann sich der Client unmittelbar, also ohne einen Benutzereingriff, und ohne einen nachträglichen Austausch von Zertifikaten an den zweiten Server wenden, falls die Anfrage an den ersten Server nicht erfolgreich ist. Eine Anfrage ist als nicht erfolgreich anzusehen, wenn der Server auf eine Anfrage innerhalb eines vorgegebenen Zeitraums nicht oder nicht vollständig antwortet, weil er beispielsweise nicht mehr funktionsfähig ist oder die Verbindung zum Client gestört ist. Eine Anfrage kann ferner dann als nicht erfolgreich angesehen werden, wenn sich der Server nicht erfolgreich gegenüber dem Client authentifiziert oder aus sonstigen Gründen keine sichere Verbindung zwischen Client und Server hergestellt werden kann. Der zweite Server kann sich in einem solchen Fall mittels des Reservezertifikats gegenüber dem Client authentifizieren. Durch die erfindungsgemäße Ausgestaltung des Verfahrens kann ein ungeplanter Wechsel in der Kommunikation des Clients von dem ersten Server zu dem zweiten Server innerhalb kurzer Zeit und vollständig automatisiert durchgeführt werden. Auf diese Weise kann auch die Kommunikation mit einem sogenannten Failover-Cluster aufrechterhalten werden, ohne dass ein privater Schlüssel eines Servers vervielfältigt oder Gruppenzertifikate verwendet werden müssen, um dem Client eine Kommunikation mit dem Failover-Cluster zu ermöglichen. Thus, the client can immediately, so without user intervention, and without a subsequent exchange of certificates to the second server, if the request to the first server is unsuccessful. A request is considered unsuccessful if the server does not respond or does not respond to a request within a specified period of time, for example because it no longer works or the connection to the client is disrupted. In addition, a request may be considered unsuccessful if the server is not successfully authenticated to the client, or otherwise unable to establish a secure connection between the client and the server. In this case, the second server can authenticate itself to the client by means of the backup certificate. Due to the inventive design of the method, an unplanned change in the communication of the client from the first server to the second server can be carried out within a short time and completely automatically. In this way, communication with a so-called failover cluster can be maintained without replicating a private key of a server or using group certificates to allow the client to communicate with the failover cluster.

Das verwendete Netzwerk kann ein gängiges digitales Netzwerk zur Verbindung von Computern und sonstigen Rechner- und Kommunikationsvorrichtungen sein. Es kann beispielsweise zur Übertragung von Daten über Energieversorgungsleitungen eingerichtet sein. The network used may be a common digital network for connecting computers and other computing and communication devices. It can be set up, for example, for the transmission of data via power supply lines.

Gemäß einer besonders vorteilhaften Ausgestaltung des Erfindungsgedankens enthält der erste Server ein Hardware-Sicherheitsmodul, in dem ein dem Hauptzertifikat zugeordneter privater Schlüssel nicht auslesefähig gespeichert ist. Der private Schlüssel ist dabei solchermaßen in dem Hardware-Sicherheitsmodul gespeichert sein, dass ein unbefugter Versuch, auf die Daten zuzugreifen, eine unwiederbringliche Löschung des Hardware-Sicherheitsmoduls bzw. der darin gespeicherten Daten nach sich zieht. Mit dem Hardware-Sicherheitsmodul können alle zulässigen Anwendungen durchgeführt werden, die den privaten Schlüssel benötigen. Ein unbefugtes Auslesen oder Kopieren des privaten Schlüssels oder eine Manipulation des privaten Schlüssels werden durch das Hardware-Sicherheitsmodul nach aktuellen Maßstäben wirksam verhindert, weshalb der private Schlüssel in dem Hardware-Sicherheitsmodul als nicht auslesefähig bezeichnet wird. Mit solchen Hardware-Sicherheitsmodulen kann eine besonders sichere Kommunikation zwischen verschiedenen Kommunikationsteilnehmern gewährleistet werden. Erfindungsgemäß kann auch der zweite Server ein Hardware-Sicherheitsmodul aufweisen, in dem ein dem Reservezertifikat zugeordneter privater Schlüssel nicht auslesefähig gespeichert ist. Das diesem privaten Schlüssel zugeordnete Reservezertifikat kann der zweite Server dem ersten Server oder einer übergeordneten Management-Einrichtung übermitteln, um gegebenenfalls eine zentrale Übertragung des Reservezertifikats an den Client zu ermöglichen und die Kommunikation mit dem Client zu vereinfachen. According to a particularly advantageous embodiment of the inventive idea, the first server contains a hardware security module in which a private key assigned to the main certificate is not stored in readable form. The private key is stored in the hardware security module in such a way that an unauthorized attempt to access the data, An irretrievable deletion of the hardware security module or the data stored therein entails. The hardware security module can be used to run any valid applications that require the private key. Unauthorized reading or copying of the private key or manipulation of the private key are effectively prevented by the hardware security module according to current standards, and therefore the private key in the hardware security module is said to be not readable. With such hardware security modules, a particularly secure communication between different communication participants can be guaranteed. According to the invention, the second server can also have a hardware security module in which a private key assigned to the reserve certificate is not stored in readable form. The backup certificate assigned to this private key can be transmitted by the second server to the first server or to a higher-level management device in order, if appropriate, to enable a central transfer of the backup certificate to the client and to facilitate communication with the client.

Der private Schlüssel wird in Kombination mit dem zugeordneten öffentlichen Schlüssel für die Erzeugung des Hauptzertifikats verwendet. Falls das Hardware-Sicherheitsmodul beschädigt wird oder auf andere Weise funktionsunfähig wird, kann das Hauptzertifikat nicht mehr verwendet werden, so dass keine Kommunikation mehr zwischen dem Client und dem betreffenden Server möglich ist. The private key is used in combination with the associated public key to generate the master certificate. If the hardware security module becomes corrupted or otherwise inoperative, the master certificate can no longer be used so that communication between the client and the server is no longer possible.

Um auch den Client möglichst manipulationssicher auszugestalten kann der Client so eingerichtet sein, dass der Client einen zugriffsgeschützten Speicher für das Hauptzertifikat und für das Reservezertifikat enthält. Der Zugriffsschutz kann dabei beispielsweise derart ausgestaltet sein, dass nur ein Benutzer, dessen Zertifikat dem Client bereits vor einem ersten Kontakt mit dem Benutzer zur Verfügung steht, auf den zugriffsgeschützten Speicher zugreifen und in diesem zugriffsgeschützten Speicher bereits gespeicherte Zertifikate ersetzen, bzw. neue Zertifikate hinzufügen kann. Der Zugriffsschutz kann einen Zugriff auch auf den ersten Server und den zweiten Server beschränken, deren Hauptzertifikat bzw. Reservezertifikat bereits in dem zugriffsgeschützten Speicher hinterlegt sind. In order to design the client as manipulatively as possible, the client can be set up so that the client contains access-protected memory for the main certificate and for the backup certificate. The access protection can be configured, for example, such that only a user whose certificate is already available to the client prior to a first contact with the user access the access-protected memory and replace already stored certificates in this access-protected memory, or add new certificates can. The access protection can also restrict access to the first server and the second server whose main certificate or backup certificate has already been stored in the access-protected memory.

Es ist ebenfalls möglich, dass der Client einen nur einmal beschreibbaren Speicher für das Hauptzertifikat und für das Reservezertifikat enthält. Dabei bedeutet nur einmal beschreibbarer Speicher, dass der Speicher während des üblichen Betriebs des Clients nicht verändert, sondern nur ausgelesen werden kann. Durch geeignete Löschverfahren könnte der nur einmal beschreibbare Speicher gelöscht und neu beschrieben werden, was jedoch nicht während des üblichen Betriebs des Clients bzw. ausschließlich mit Softwareprogrammen möglich ist. Nach der Inbetriebnahme des Clients und einer ersten Kommunikation mit dem Client über das Netzwerk können von einem autorisierten Teilnehmer das Hauptzertifikat und das Reservezertifikat in dem nur einmal beschreibbaren Speicher hinterlegt werden. Eine nachträgliche Veränderung bestehender Zertifikate wird dadurch unmöglich. Mit einem derartigen Client kann eine besonders sichere Kommunikation mit einem Server mit einem Hardware-Sicherheitsmodul durchgeführt werden. Allerdings könnte es zweckmäßig sein, zu einem späteren Zeitpunkt ein weiteres Reservezertifikat nachträglich hinzuzufügen, so dass beispielsweise nach dem Ausfall des ersten Servers das bis dahin als Reservezertifikat zukünftig wie ein neues Hauptzertifikat genutzt wird und ein weiteres Reservezertifikat dem nur einmal beschreibbaren Speicher hinzugefügt wird, um die angestrebte Ausfallsicherheit weiterhin gewährleisten zu können. Für einen nur einmal beschreibbaren Speicher kann beispielsweise ein löschbarer und programmierbarer Nur-Lese-Speicher (EPROM) oder ein einmal programmierbarer Nur-Lese-Speicher (PROM) eingesetzt werden, dessen darin gespeicherte Information während eines üblichen Betriebs nicht gelöscht oder verändert werden kann. It is also possible for the client to include one write-once storage for the main certificate and the backup certificate. Only memory that can be written once means that the memory does not change during normal operation of the client, but can only be read out. By means of suitable deletion methods, the memory, which can only be written once, could be deleted and rewritten, but this is not possible during normal operation of the client or exclusively with software programs. After the commissioning of the client and an initial communication with the client via the network, an authorized subscriber can store the main certificate and the backup certificate in the write once memory. A subsequent change of existing certificates is impossible. With such a client, a particularly secure communication with a server with a hardware security module can be performed. However, it may be appropriate to add a further reserve certificate at a later date, so that, for example, after the failure of the first server, the reserve certificate will in future be used as a new main certificate and another reserve certificate will be added to the write once memory to be able to continue to guarantee the intended reliability. For a rewritable memory, for example, an erasable and programmable read only memory (EPROM) or a one time programmable read only memory (PROM) may be employed whose information stored therein can not be erased or altered during normal operation.

Erfindungsgemäß kann in einer besonders vorteilhaften Weise auch vorgesehen sein, dass der Client einen nicht beschreibbaren Speicher aufweist, in welchem das Hauptzertifikat und das Reservezertifikat gespeichert sind. Ein derartiger Speicher kann beispielsweise ein Nur-Lese-Speicher (ROM) oder ein Festwertspeicher sein. Das Hauptzertifikat und das Reservezertifikat müssen bei dem nicht beschreibbaren Speicher bereits bei dessen Herstellung durch den Hersteller in dem nicht beschreibbaren Speicher hinterlegt und abgespeichert werden. Eine nachträgliche Veränderung des nicht beschreibbaren Speichers ist unmöglich, so dass mit diesem Ausführungsbeispiel eine besonders hohe Sicherheit gewährleistet werden kann, da eine nachträgliche unbefugte Manipulation der Zertifikate grundsätzlich ausgeschlossen ist. According to the invention can also be provided in a particularly advantageous manner that the client has a non-writable memory in which the main certificate and the reserve certificate are stored. Such a memory may be for example a read-only memory (ROM) or a read-only memory. The main certificate and the reserve certificate must be stored in the non-writable memory already in its manufacture by the manufacturer in the non-writable memory and stored. A subsequent change of the non-writable memory is impossible, so that a particularly high level of security can be ensured with this embodiment, since a subsequent unauthorized manipulation of the certificates is basically excluded.

Es ist ebenfalls möglich und im Hinblick auf eine möglichst sichere Kommunikation zwischen dem Client und dem ersten bzw. zweiten Server erfindungsgemäß vorgesehen, dass der Client ein Hardware-Sicherheitsmodul aufweist, in dem ein einem Clientzertifikat zugeordneter privater Schlüssel des Clients nicht auslesefähig gespeichert ist. Auf diese Weise kann jeder Client individualisiert und geschützt sein. Eine unbefugte Übernahme der Identität eines Clients, indem dessen privater Schlüssel kopiert oder unbefugt übertragen wird, kann dadurch ausgeschlossen werden. Es sind Anwendungsfälle aus der Praxis bekannt, bei denen ein Client nach einer Beschädigung des Hardware-Sicherheitsmoduls unbrauchbar wird und durch einen neuen Client ersetzt werden muss, dieser Austausch jedoch in Kauf genommen wird, um eine besonders sichere Kommunikation zwischen dem Client und dem Server gewährleisten zu können. It is also possible and provided with regard to the most secure communication between the client and the first or second server according to the invention that the client has a hardware security module in which a private key of the client associated with a client certificate is not stored readable. In this way, each client can be individualized and protected. An unauthorized acceptance of the identity of a client by copying its private key or transferring it without authorization can therefore be ruled out. There are application cases known in practice in which a client after damage to the hardware security module is unusable and must be replaced by a new client, this exchange is, however, accepted in order to ensure a particularly secure communication between the client and the server.

Sollte das Hardware-Sicherheitsmodul des ersten Servers unbenutzbar werden und eine auf dem Hauptzertifikat basierende Kommunikation zwischen dem Client und dem ersten Server unmöglich werden, wäre der betreffende Client zunächst nicht mehr funktionsfähig, da keine sichere Kommunikation mit dem ersten Server erfolgen kann. Falls jedoch das erfindungsgemäße Verfahren angewendet wird und in dem Client sowohl das Hauptzertifikat als auch mindestens ein Reservezertifikat gespeichert wird, bevor der Client ausgeliefert oder erstmals in Benutzung genommen wird, kann bei einem Ausfall des ersten Servers mit Hilfe des bereits in dem Client gespeicherten Reservezertifikats eine sichere Verbindung zu dem zweiten Server aufgebaut und eine sichere Kommunikation mit dem zweiten Server durchgeführt werden. Should the hardware security module of the first server become unusable and a communication based on the main certificate between the client and the first server become impossible, the relevant client would initially no longer be functional since no secure communication with the first server can take place. However, if the method according to the invention is used and both the main certificate and at least one backup certificate are stored in the client before the client is delivered or first put into use, in the event of a failure of the first server with the help of the backup certificate already stored in the client secure connection to the second server and established a secure communication with the second server.

Weiterhin ist erfindungsgemäß vorgesehen, dass in dem Client, in dem ersten Server, in dem zweiten Server und/oder in mindestens einem weiteren Server alle zur Authentifizierung als Inhaber des Zertifikats notwendigen Daten nicht auslesefähig gespeichert sind. Als notwendige Daten, die zur Authentifizierung als Inhaber eines Zertifikats benötigt werden, können dabei private Schlüssel angesehen werden. Es kann sich aber auch um andere Daten wie beispielsweise Zertifikate handeln, die eine Authentifizierung bzw. eine sichere Kommunikation erlauben. It is further provided according to the invention that in the client, in the first server, in the second server and / or in at least one other server all data necessary for authentication as holder of the certificate are not stored readable. As necessary data, which are required for authentication as a holder of a certificate, private keys can be viewed. However, it can also be other data such as certificates that allow authentication or secure communication.

Vorzugsweise wird nach erfolgreicher Authentifizierung des ersten Servers gegenüber dem Client eine gesicherte Verbindung zwischen dem ersten Server und dem Client aufgebaut. Die Verbindung kann dabei dadurch gesichert sein, dass sie verschlüsselt ist. Durch eine Verschlüsselung ist sichergestellt, dass Dritte, die übertragene Daten abhören, deren Inhalt nicht einsehen können. Ferner kann die Verbindung solchermaßen abgesichert sein, dass auch die Integrität der übermittelten Daten sichergestellt wird. Dadurch ist es einem Dritten unmöglich, die übertragenen Daten zu manipulieren. Sollte eine gesicherte Verbindung zu dem ersten Server nicht möglich sein, wird eine gesicherte Verbindung zwischen dem zweiten Server und dem Client nach erfolgreicher Authentifizierung des zweiten Servers gegenüber dem Client zwischen dem zweiten Server und dem Client aufgebaut. Preferably, after successful authentication of the first server to the client, a secure connection is established between the first server and the client. The connection can be secured by being encrypted. Encryption ensures that third parties who listen to transmitted data can not see their content. Furthermore, the connection can be secured in such a way that the integrity of the transmitted data is ensured. This makes it impossible for a third party to manipulate the transmitted data. If a secure connection to the first server is not possible, a secure connection between the second server and the client is established after successful authentication of the second server to the client between the second server and the client.

Erfindungsgemäß kann die Übermittlung des Hauptzertifikats an den Client erfolgen, bevor ein Anschluss des Clients an das Netzwerk erfolgt. Dies betrifft insbesondere solche Clients, die bei privaten Endverbrauchern eingesetzt werden, aber nicht durch diese gewartet werden können oder sollen. Bei dem Client kann es sich dabei beispielsweise um ein System handeln, das nur einmal mit Daten beschreibbar ist. Somit kann eine Manipulation des Clients durch den Endverbraucher vermieden werden. Durch die Einrichtung des Clients durch den Auslieferer kann dieser sicherstellen, dass tatsächlich die korrekten Zertifikate auf den Client aufgespielt wurden. Neben einem Hauptzertifikat kann auch ein mindestens ein Reservezertifikat an den Client übermittelt werden, bevor ein Anschluss des Clients an das Netzwerk erfolgt. Das übermittelte Haupt- oder Reservezertifikat enthält vorzugsweise Informationen, mittels deren der Client feststellen kann, ob eine Gegenstelle der tatsächliche Inhaber des Haupt- oder Reservezertifikats ist. According to the invention, the transmission of the main certificate to the client can take place before the client is connected to the network. This applies in particular to those clients that are used by private end users, but can not or should not be serviced by them. For example, the client may be a system that can only be written once with data. Thus, manipulation of the client by the end user can be avoided. By setting up the client through the vendor, the vendor can ensure that the correct certificates have actually been applied to the client. In addition to a main certificate, at least one reserve certificate can also be transmitted to the client before the client is connected to the network. The transmitted master or backup certificate preferably contains information by means of which the client can determine whether a remote site is the actual owner of the main or backup certificate.

Gemäß einer weiteren Ausführungsform der Erfindung umfasst die Übermittlung des Reservezertifikats an den Client zumindest die folgenden Schritte: Stellung einer Anfrage des Clients an den ersten Server, Authentifizierung des ersten Servers als Inhaber des Hauptzertifikats gegenüber dem Client und Übermittlung mindestens eines Reservezertifikats vom ersten Server an den Client. Folglich übermittelt der erste Server dem Client ein Reservezertifikat, das einem zweiten Server zugeordnet ist. Der erste Server kann das Reservezertifikat entweder bereits vorhalten oder aber erst dann beschaffen, wenn der Client ihn kontaktiert. Die Übermittlung eines entsprechenden Zertifikats kann bei einer ersten Anfrage des Clients, aber auch bei einer späteren Anfrage des Clients an den ersten Server durchgeführt werden. Der erste Server kann mehrere Reservezertifikate von mehreren zweiten Servern an den Client übermitteln, sodass dem Client mehrere Gegenstellen verfügbar sind, falls der erste Server ausfällt. Es ist grundsätzlich auch möglich, dass in dem Client ein weiteres Administrationszertifikat zugriffsgeschützt gespeichert ist und vor der ersten Inbetriebnahme des Clients eine Kommunikation mit einem Administrationsserver erfolgt, der dazu vorgesehen und eingerichtet ist, dem Client vor dessen Inbetriebnahme das Hauptzertifikat und das Reservezertifikat zu übermitteln. According to a further embodiment of the invention, the transmission of the backup certificate to the client comprises at least the following steps: making a request from the client to the first server, authenticating the first server as the owner of the master certificate to the client and transmitting at least one backup certificate from the first server to the client client. Consequently, the first server sends the client a backup certificate associated with a second server. The first server can either already hold the backup certificate or only obtain it when the client contacts it. The transmission of a corresponding certificate can be carried out at a first request from the client, but also at a later request of the client to the first server. The first server can submit multiple backup certificates from multiple second servers to the client, so that the client has multiple remote sites available if the first server fails. In principle, it is also possible for a further administration certificate to be stored in the client in an access-protected manner and for communications to be made with an administration server prior to the first commissioning of the client, which is provided and configured to transmit the main certificate and the backup certificate to the client prior to its commissioning.

Falls der erste Server ein Reservezertifikat erzeugt, so kann er dieses dem zweiten Server bereitstellen und gegebenenfalls bei einer ersten Kommunikation mit dem Client an den Client übermitteln. Es ist ebenfalls möglich, dass ein zentraler Administrationsserver das Hauptzertifikat und das Reservezertifikat verwaltet und vor einer ersten Inbetriebnahme oder gegebenenfalls nachträglich an den Client übermittelt. Das Hauptzertifikat und das Reservezertifikat können auch in einer zentralen Konfigurationsdatenbank hinterlegt sein, auf welche der erste Server und gegebenenfalls der zweite Server sowie der Administrationsserver Zugriff haben. If the first server generates a backup certificate, it can provide this to the second server and, if appropriate, transmit it to the client during a first communication with the client. It is also possible that a central administration server manages the main certificate and the backup certificate and transmits it to the client before a first startup or, if appropriate, subsequently. The main certificate and the backup certificate can also be stored in a central configuration database to which the first server and, if appropriate, the second server and the administration server have access.

Es ist gemäß einer Ausgestaltung des Erfindungsgedankens vorgesehen, dass das Verfahren zusätzlich die folgenden Schritte umfasst: Übermittlung eines Clientzertifikats an den ersten Server und/oder den zweiten Server und, nach erfolgreicher Anfrage des Clients an den ersten bzw. an den zweiten Server, Authentifizierung des Clients gegenüber dem ersten bzw. dem zweiten Server als Inhaber des Clientzertifikats. Dem ersten Server und/oder dem zweiten Server wird folglich ein Clientzertifikat übermittelt, mit dem der betreffende Server den Client eindeutig identifizieren kann. Diese Übermittlung muss lediglich einmalig erfolgen. Das Clientzertifikat kann dem ersten bzw. dem zweiten Server beispielsweise durch eine vertrauenswürdige Stelle übermittelt werden oder vor Inbetriebnahme der Server auf mindestens einem der Server hinterlegt werden. It is provided according to an embodiment of the inventive idea that the method additionally comprises the following steps: transmission of a client certificate to the first server and / or the second server and, after successful request of the client to the first or the second server, authentication of the Clients to the first or the second server as owner of the client certificate. The first server and / or the second server is thus sent a client certificate, with which the relevant server can uniquely identify the client. This transmission must be done only once. The client certificate can be transmitted to the first or the second server, for example by a trusted authority, or deposited on at least one of the servers before the servers are put into operation.

Bei einer Anfrage des Clients an den ersten bzw. den zweiten Server authentifiziert sich der Client gegenüber dem ersten bzw. dem zweiten Server. Die Authentifizierung erfolgt dabei mittels des dem Client zugeordneten Zertifikats. Der Schritt der Authentifizierung des Clients gegenüber dem ersten bzw. dem zweiten Server kann dabei vor und/oder nach einer Authentifizierung des ersten bzw. des zweiten Servers gegenüber dem Client stattfinden. Upon a request from the client to the first or the second server, the client authenticates to the first or the second server. Authentication takes place by means of the certificate assigned to the client. The step of authenticating the client to the first or the second server can take place before and / or after an authentication of the first or the second server to the client.

Das Clientzertifikat kann dem Client durch einen Server aus einer Public-Key-Infrastruktur ausgestellt werden. Als Public-Key-Infrastruktur wird hierbei ein Netzwerk aus Kommunikationsteilnehmern beschrieben, die sich gegeneinander mittels öffentlichen und privaten Schlüsseln authentifizieren. Hierbei kann einzelnen Servern die Rolle zukommen, Zertifikate auszustellen. Diese Server entsprechen sogenannten Zertifizierungsstellen und müssen als besonders vertrauenswürdig angesehen werden. The client certificate can be issued to the client through a server from a public key infrastructure. A public-key infrastructure is a network of communication participants who authenticate against each other using public and private keys. Here, individual servers may have the role of issuing certificates. These servers correspond to so-called certification authorities and must be regarded as particularly trustworthy.

Das Clientzertifikat kann dem Client auch durch den ersten Server ausgestellt werden. Dazu erzeugt der erste Server ein entsprechendes Zertifikat und ermittelt dieses an den Client. Das Zertifikat kann der erste Server bei einer ersten Anfrage des Clients an den ersten Server erzeugen, aber auch bei einer späteren Anfrage. Es ist vorteilhaft, wenn dem Client das Clientzertifikat durch den ersten Server erst ausgestellt wird, nachdem sich der erste Server gegenüber dem Client authentifiziert hat. Nur in diesem Fall kann der Client sichergehen, dass ihm ein korrektes Clientzertifikat übermittelt wurde. Das Clientzertifikat kann dem Client auch vor Inbetriebnahme, zumindest aber vor Anschluss des Clients an das Netzwerk, übermittelt werden. The client certificate can also be issued to the client through the first server. For this purpose, the first server generates a corresponding certificate and determines this to the client. The certificate can be generated by the first server on a first request of the client to the first server, but also on a later request. It is advantageous if the client certificate is issued to the client by the first server only after the first server has authenticated against the client. Only in this case can the client be sure that he has received a correct client certificate. The client certificate can also be transmitted to the client before it is put into service, or at least before the client is connected to the network.

Gemäß einer möglichen Ausführungsform kann nach erfolgreicher Authentifizierung des zweiten Servers gegenüber dem Client mindestens ein weiteres Reservezertifikat, das einem weiteren Server zugeordnet ist, von dem zweiten Server an den Client übertragen werden. Hierdurch kann sichergestellt werden, dass dem Client auch für den Fall, dass der zweite Server ausfällt, weitere Server bekannt sind, und dass der Client auch entsprechende Zertifikate besitzt, sodass eine Authentifizierung der weiteren Server gegenüber dem Client möglich ist. Eine solche Bereitstellung weiterer Zertifikate an den Client durch weitere Server an den Client kann auch iterativ erfolgen. Dies bedeutet, dass grundsätzlich jeder Server, bei dem der Client eine Anfrage stellt, dem Client Reservezertifikate übermitteln kann, mit denen sich weitere Server gegenüber dem Client authentifizieren können. According to a possible embodiment, after successful authentication of the second server relative to the client, at least one further backup certificate, which is assigned to a further server, can be transmitted from the second server to the client. This makes it possible to ensure that the client is aware of additional servers even in the event that the second server fails, and that the client also has corresponding certificates, so that an authentication of the other servers to the client is possible. Such provision of additional certificates to the client by further servers to the client can also be iterative. This means that, in principle, any server in which the client makes a request can transmit reserve certificates to the client with which additional servers can authenticate themselves to the client.

Vorzugsweise umfasst der Schritt der Authentifizierung die Verwendung eines dem Zertifikat zugeordneten privaten Schlüssels durch den Inhaber des Zertifikats sowie einen Überprüfungsschritt mittels eines dem Zertifikat zugehörigen öffentlichen Schlüssels. Es handelt sich dabei um ein Authentifizierungsverfahren, das ein Verfahren der asymmetrischen Kryptographie anwendet. Vorzugsweise umfasst der Schritt der Authentifizierung ein Challenge-Response-Verfahren. Der Vorgang der Authentifizierung kann jedoch auch mittels anderer Verfahren durchgeführt werden. So können beispielsweise zur Authentifizierung ein Passwort oder eine PIN übermittelt werden. The step of authentication preferably comprises the use of a private key assigned to the certificate by the holder of the certificate and a checking step by means of a public key associated with the certificate. It is an authentication method that uses asymmetric cryptography. Preferably, the step of authentication comprises a challenge-response method. However, the process of authentication can also be performed by other methods. For example, a password or a PIN can be transmitted for authentication.

Es ist erfindungsgemäß vorgesehen, dass der Schritt der Authentifizierung die Verwendung eines dem Zertifikat zugeordneten privaten Schlüssels durch den Inhaber des Zertifikats sowie einen Überprüfungsschritt mittels eines dem Zertifikat zugehörigen öffentlichen Schlüssels umfasst. Typischerweise sind dem Zertifikat ein öffentlicher und ein privater Schlüssel zugeordnet, wobei allerdings nur der Inhaber des Zertifikats auch den privaten Schlüssel kennt. Eine Gegenstelle erhält durch das Zertifikat diverse Informationen zum Eigentümer des Zertifikats sowie einen öffentlichen Schlüssel, sodass sich der Inhaber des Zertifikats mittels seines privaten Schlüssels gegenüber der Gegenstelle authentifizieren kann. According to the invention, the step of authentication comprises the use of a private key assigned to the certificate by the owner of the certificate and a checking step by means of a public key belonging to the certificate. Typically, a public key and a private key are associated with the certificate, but only the owner of the certificate knows the private key. A remote station receives various information about the owner of the certificate as well as a public key, so that the holder of the certificate can authenticate himself to the remote station by means of his private key.

Gemäß einer besonders bevorzugten Ausführungsform handelt es sich bei den Zertifikaten um Public-Key-Zertifikat nach dem Standard X.509. Dieses enthält unter anderem Informationen zum Aussteller, zur Gültigkeit, zum Zertifikatinhaber, zum öffentlichen Schlüssel des Zertifikatinhabers, eine Algorithmen-ID und eine Seriennummer. Zusätzlich enthält es eine Zertifikatsignatur, sodass die Identität des Ausstellers des Zertifikats geprüft werden kann. According to a particularly preferred embodiment, the certificates are public-key certificates according to the standard X.509. It contains, among other things, information about the issuer, the validity, the certificate holder, the public key of the certificate holder, an algorithm ID and a serial number. In addition, it contains a certificate signature so that the identity of the issuer of the certificate can be verified.

Die die Authentifizierung und die Sicherung von Verbindungen kann durch das TLS-Protokoll implementiert sein. TLS (Transport Layer Security) ist ein Verschlüsselungsprotokoll, das es erlaubt, Daten sicher in Computernetzwerken zu übertragen. Im TCP/IP-Protokollstapel wird es der Transportschicht zugerechnet. Gemäß TLS findet eine Authentifizierung auf Basis eines X.509-Zertifikats statt, darüber hinaus erfolgt die Kommunikation nach erfolgreicher Authentifizierung und Berechnung eines gemeinsamen Schlüssels auf Basis symmetrischer Verschlüsselung. TLS wird beispielsweise beim https-Protokoll zur sicheren Datenübertragung im World Wide Web eingesetzt. Es bildet aber auch die Basis vieler weiterer sicherer Übertragungsprotokolle, die in Computernetzwerken eingesetzt werden. The authentication and the securing of connections can be implemented by the TLS protocol. Transport Layer Security (TLS) is an encryption protocol that allows data to be securely transmitted over computer networks. In the TCP / IP protocol stack, it becomes the transport layer attributed. According to TLS, authentication takes place on the basis of an X.509 certificate; in addition, communication takes place after successful authentication and calculation of a common key based on symmetric encryption. For example, TLS is used in the https protocol for secure data transmission on the World Wide Web. But it also forms the basis of many other secure transmission protocols used in computer networks.

Gemäß einer Ausgestaltung des Erfindungsgedankens ist vorgesehen, dass bei dem Einsatz des erfindungsgemäßen Verfahrens der Client als Smart Meter Gateway ausgebildet ist und der erste Server sowie der zweite Server als Gateway-Administrator-Server und/oder Externer-Marktteilnehmer-Server ausgebildet sind. Als Smart Meter Gateway wird beispielsweise ein Gerät bezeichnet, das Stromverbrauchswerte einer wirtschaftlichen Einheit, zum Beispiel eines Haushalts, sammelt und an externe Marktteilnehmer weiterleitet. Dazu sammelt das Smart Meter Gateway Verbrauchsdaten beispielsweise aus einem lokalen Netzwerk, in dem sich einzelne Verbraucher befinden. Das Smart Meter Gateway kann zusätzliche Daten wie beispielsweise Wetterdaten sammeln, optional aggregieren und weiterleiten. Der erste Server und der zweite Server können Server eines externen Marktteilnehmers sein. Ein solcher Marktteilnehmer kann beispielsweise ein Stromlieferant sein. Der erste Server und der zweite Server können ferner der Server eines Gateway Administrators sein. Dieser ist dazu berechtigt, am Smart Meter Gateway Kontrollen und/oder Änderungen vorzunehmen. Die Kommunikation zwischen dem Smart Meter Gateway und seinen Gegenstellen kann in vorteilhafter Weise mittels Powerline Communication, also über die Energienetze selbst erfolgen. According to one embodiment of the inventive concept, it is provided that in the use of the inventive method, the client is designed as a smart meter gateway and the first server and the second server are designed as gateway administrator server and / or external market participant server. For example, a smart meter gateway is a device that collects the power consumption values of an economic unit, for example a household, and forwards it to external market participants. For this purpose, the smart meter gateway collects consumption data, for example, from a local network in which individual consumers are located. The Smart Meter Gateway can collect, optionally aggregate and forward additional data such as weather data. The first server and the second server may be servers of an external market participant. Such a market participant may be, for example, an electricity supplier. The first server and the second server may also be the server of a gateway administrator. He is authorized to carry out checks and / or changes on the Smart Meter Gateway. The communication between the smart meter gateway and its remote sites can be done in an advantageous manner by means of power line communication, ie via the energy networks themselves.

Eine mögliche Ausführungsform der Erfindung ist in der Zeichnung dargestellt. Dabei zeigt: A possible embodiment of the invention is shown in the drawing. Showing:

1 ein schematisches Organisationsdiagramm eines erfindungsgemäßen Systems von einem Client und zwei Servern in einem Netzwerk, 1 a schematic organization diagram of a system according to the invention of a client and two servers in a network,

2 ein Ablaufdiagramm einer beispielhaften Ausgestaltung des erfindungsgemäßen Verfahrens, und 2 a flowchart of an exemplary embodiment of the method according to the invention, and

3 ein schematisches Organisationsdiagramm einer weiteren Ausgestaltung des erfindungsgemäßen Systems von einem Client und zwei Servern in einem Netzwerk. 3 a schematic organization diagram of another embodiment of the system according to the invention of a client and two servers in a network.

1 zeigt einen als C1 bezeichneten Client 1 und zwei in der Figur als S1 und S2 bezeichnete Server 2, 3, die über ein digitales Netzwerk 4 miteinander verbunden sind und miteinander kommunizieren können. Der erste Server 2 weist ein als H1 bezeichnetes erstes Hardware-Sicherheitsmodul 5 und der zweite Server 3 ein als H2 bezeichnetes zweites Hardware-Sicherheitsmodul 6 auf. In den Hardware-Sicherheitsmodulen 5, 6 ist jeweils ein privater Schlüssel des betreffenden Servers 2, 3 manipulationssicher gespeichert. Der Client 1 weist einen geschützten Speicher 7 auf, in dem ein Hauptzertifikat 8, das in der 1 mit S1-c gekennzeichnet ist, und ein Reservezertifikat 9, das in der 1 mit S2-c bezeichnet ist, gespeichert sind. Der geschützte Speicher 7 kann nach einem einmaligen Beschreiben bzw. dem Abspeichern des Hauptzertifikats 8 und des Reservezertifikats 9 nachträglich nicht mehr verändert werden. 1 shows a client called C1 1 and two servers designated as S1 and S2 in the figure 2 . 3 that have a digital network 4 connected to each other and can communicate with each other. The first server 2 has a first hardware security module called H1 5 and the second server 3 a second hardware security module called H2 6 on. In the hardware security modules 5 . 6 is a private key of the respective server 2 . 3 stored tamper-proof. The client 1 has a protected memory 7 in which a main certificate 8th that in the 1 marked with S1-c, and a reserve certificate 9 that in the 1 labeled S2-c are stored. The protected memory 7 can after a single writing or storing the main certificate 8th and the reserve certificate 9 subsequently not be changed.

Der Client 1 kann unter Verwendung des Hauptzertifikats 8 eine geschützte Verbindung mit dem ersten Server 2 aufbauen. Falls es dem Client 1 nicht möglich ist, innerhalb einer vorgegebenen Zeitspanne eine Verbindung mit dem ersten Server 2 aufzubauen, so versucht er automatisiert eine Verbindung mit dem zweiten Server 3 aufzubauen, wofür das Reservezertifikat 9 verwendet wird. The client 1 can using the main certificate 8th a secure connection to the first server 2 build up. If it is the client 1 it is not possible within a predetermined period of time to connect to the first server 2 he tries automatically to connect to the second server 3 for which the reserve certificate 9 is used.

Der Client 1 kann beispielsweise als Smart Meter Gateway ausgestaltet sein. Das Smart Meter Gateway sammelt Stromverbrauchswerte einer wirtschaftlichen Einheit, zum Beispiel eines Haushalts, und leitet diese an externe Marktteilnehmer weiter. Zu diesem Zweck ist das Smart Meter Gateway mit lokalen Verbrauchern verbunden. Ferner ist das Smart Meter Gateway mit lokalen Sensoren verbunden, die beispielsweise Wetterdaten messen. Eine entsprechende Verbindung kann als LAN- oder WLAN-Verbindung ausgeführt sein. Wird durch die wirtschaftliche Einheit Strom bezogen, so setzt sich das Smart Meter Gateway zu Abrechnungszwecken sowie zum Austausch weiterer Informationen mit externen Messstellen-Servern, in dem gezeigten Ausführungsbeispiel mit dem ersten Server 2, von einer externen Messstelle in Verbindung. Falls der erste Server 2 ausfallen sollte, kann das Smart Meter Gateway weiter betrieben und genutzt werden, und eine sichere Kommunikation mit dem zweiten Server 3 derselben Messstelle oder einer alternativ nutzbaren Messstelle durchgeführt werden. The client 1 can be configured for example as a smart meter gateway. The Smart Meter Gateway collects power consumption values of an economic entity, such as a household, and forwards them to external market participants. For this purpose, the Smart Meter Gateway is connected to local consumers. Furthermore, the smart meter gateway is connected to local sensors that measure weather data, for example. A corresponding connection can be implemented as a LAN or WLAN connection. If electricity is supplied by the economic unit, then the smart meter gateway sets itself for billing purposes as well as for exchanging further information with external measuring point servers, in the exemplary embodiment shown with the first server 2 , from an external measuring point in connection. If the first server 2 should the Smart Meter Gateway continue to operate and use, and secure communication with the second server 3 the same measuring point or an alternatively usable measuring point.

2 zeigt ein schematisches Ablaufdiagramm zum erfindungsgemäßen Verfahren, wobei der soeben beschrieben Ablauf näher erläutert wird. In einem ersten Schritt 10 werden das Hauptzertifikat 8, das dem ersten Server 2 zugeordnet ist, und das Reservezertifikat 9, das dem zweiten Server 4 zugeordnet ist, an den Client 1 übermittelt. Dies kann bereits herstellerseitig bei der Herstellung des Clients 1, vor einem ersten Anschluss des Clients 1 an das Netzwerk 4 oder während einer ersten Kommunikation mit einem vertrauenswürdigen Kommunikationspartner erfolgen. 2 shows a schematic flow diagram of the method according to the invention, wherein the process just described will be explained in more detail. In a first step 10 become the main certificate 8th that the first server 2 and the reserve certificate 9 that the second server 4 is assigned to the client 1 transmitted. This can already be done by the manufacturer during the production of the client 1 , before a first connection of the client 1 to the network 4 or during a first communication with a trusted communication partner.

In einem zweiten Schritt 11 erfolgt eine Anfrage vom Client 1 an den ersten Server 2. Es erfolgt eine erste Auswertung 12, ob die Anfrage vom Client 1 an den ersten Server 2 erfolgreich war. In a second step 11 a request is made by the client 1 to the first server 2 , There is a first evaluation 12 whether the request from the client 1 to the first server 2 was successful.

War die Anfrage erfolgreich, so wird in einem nachfolgenden Schritt 13 eine gesicherte Verbindung zwischen dem Client 1 und dem ersten Server 2 aufgebaut, um anschließend eine sichere Kommunikation 14 zwischen dem Client 1 und dem ersten Server 2 durchzuführen. If the request was successful, then in a subsequent step 13 a secure connection between the client 1 and the first server 2 and then secure communication 14 between the client 1 and the first server 2 perform.

War die Anfrage an den ersten Server 2 nicht erfolgreich, so wird in einem nachfolgenden Schritt 15 vom Client 1 eine Anfrage an den zweiten Server 3 gestellt. Es erfolgt eine zweite Auswertung 16, ob die Anfrage vom Client 1 an den zweiten Server 3 erfolgreich war. War die Anfrage erfolgreich, so wird in einem nachfolgenden Schritt 17 eine gesicherte Verbindung zwischen dem Client 1 und dem zweiten Server 3 aufgebaut, um anschließend eine sichere Kommunikation 18 zwischen dem Client 1 und dem zweiten Server 3 durchzuführen. Ist auch die Anfrage des ersten Clients 1 an den zweiten Server 3 nicht erfolgreich, so muss ein Abbruch 19 des Verfahrens erfolgen. Was the request to the first server 2 not successful, so will in a subsequent step 15 from the client 1 a request to the second server 3 posed. There is a second evaluation 16 whether the request from the client 1 to the second server 3 was successful. If the request was successful, then in a subsequent step 17 a secure connection between the client 1 and the second server 3 and then secure communication 18 between the client 1 and the second server 3 perform. Is also the request of the first client 1 to the second server 3 not successful, so must a demolition 19 of the procedure.

Der Client 1 kann durch einen Gateway-Administrator-Server gewartet werden. Diese Server sollten nach Möglichkeit jeweils redundant mit einem ersten Server 2, einem zweiten Server 3 und gegebenenfalls mit einem weiteren Server ausgestattet sein, um die Ausfallsicherheit des Systems zu erhöhen. The client 1 can be serviced by a gateway administrator server. These servers should, whenever possible, be redundant with a first server 2 , a second server 3 and optionally equipped with another server to increase the reliability of the system.

In 3 ist exemplarisch und schematisch ein abweichend zu 1 ausgestaltetes erfindungsgemäßes System mit einem mit „S1“ bezeichneten ersten Server 2 und einem mit „S2“ bezeichneten zweiten Server 3 sowie mit einem als „C1“ bezeichneten Client 1 dargestellt. Der erste Server 2 und der zweite Server 3 weisen jeweils ein Hardware-Sicherheitsmodul 5, 6 auf, in denen jeweils der private Schlüssel des betreffenden Servers 2, 3 manipulations- und kopiersicher gespeichert ist. Auch der Client 1 weist ein In 3 is exemplary and schematically deviating from 1 designed inventive system with a designated "S1" first server 2 and a second server labeled "S2" 3 as well as a client called "C1" 1 shown. The first server 2 and the second server 3 each have a hardware security module 5 . 6 on, in each of which the private key of the server concerned 2 . 3 stored tamper-proof and copy-proof. Also the client 1 instructs

in 3 als „HC“ bezeichnetes Hardware-Sicherheitsmodul 20 auf, in welchem der private Schlüssel des Clients 1 gespeichert ist. Die beiden Server 2, 3 und der Client 1 weisen jeweils einen zugriffsgeschützten und in vorteilhafter Weise nur einmal oder nicht beschreibbaren Speicher 21, 22, 23 auf, in dem Zertifikate gespeichert sein können. Eine vertrauenswürdige Certification Authority 24, ein als „PKI“ bezeichnetes System, welches digitale Zertifikate ausstellen kann, erzeugt nicht nur ein eigenes Zertifikat 25, das in dem in 3 gezeigten Ausführungsbeispiel mit „CA-c“ bezeichnet ist, sondern auch für jeden Server 2, 3 und den Client 1 jeweils ein zugeordnetes Zertifikat, nämlich das Hauptzertifikat „S1-c“ 26 für den ersten Server 2, das Reservezertifikat „S2-c“ 27 für den zweiten Servern 3 und das Clientzertifikat „C1-c“ 28 für den Client 1. in 3 as "HC" designated hardware security module 20 on, in which the private key of the client 1 is stored. The two servers 2 . 3 and the client 1 each have an access protected and advantageously only once or not writable memory 21 . 22 . 23 on which certificates can be stored. A trusted certification authority 24 A system called "PKI" that can issue digital certificates does not just create its own certificate 25 that in the in 3 shown embodiment is denoted by "CA-c", but also for each server 2 . 3 and the client 1 one associated certificate each, namely the main certificate "S1-c" 26 for the first server 2 , the reserve certificate "S2-c" 27 for the second servers 3 and the client certificate "C1-c" 28 for the client 1 ,

In dem ersten Server 2 und dem zweiten Server 3 wird jeweils in einem geschützten Speicher 21, 22 des ersten Servers 2 und des zweiten Servers 3 das Clientzertifikat „C1-c“ 28 und das Zertifikat „CA-c“ 25 der Certification Authority „PKI“ 24 gespeichert, sowie gegebenenfalls auch die weiteren Zertifikate der übergeordneten Instanzen der CA-Hierarchie bis zu dem Zertifikat „Root-CA-c“ der obersten Instanz „Root“. Vor der ersten Inbetriebnahme werden in dem Client 1 in einem geschützten Speicher 23 des Clients 1 das Hauptzertifikat „S1-c“ 26, das Reservezertifikat „S2-c“ 27 und das Zertifikat „CA-c“ 25 der Certification Authority „PKI“ 24 gespeichert. In the first server 2 and the second server 3 is each in a protected memory 21 . 22 of the first server 2 and the second server 3 the client certificate "C1-c" 28 and the certificate "CA-c" 25 the Certification Authority "PKI" 24 stored, and possibly also the other certificates of the higher-level instances of the CA hierarchy up to the certificate "Root CA-c" of the root authority "Root". Before the first startup will be in the client 1 in a protected memory 23 of the client 1 the main certificate "S1-c" 26 , the reserve certificate "S2-c" 27 and the certificate "CA-c" 25 the Certification Authority "PKI" 24 saved.

Der erste Server 2 und der zweite Server 3 sind Bestandteil einer gemeinsamen Server-Applikation 29, die wahlweise auf dem ersten Server 2 oder auf dem zweiten Server 3 ausgeführt werden kann. Eine von einer Client-Applikation 30 ausgelöste Anfrage des Client 1 an die Server-Applikation 29 wird über das Netzwerk 4 an eine zentrale Eingangseinrichtung 31 geleitet, wobei die zentrale Eingangseinrichtung 31 mit dem ersten Server 2 und mit dem zweiten Server 3 in Verbindung steht und beispielsweise eine Firewall oder ein Load-Balancer sein kann. Die Anfrage des Clients 1 wird zunächst mit dem Hauptzertifikat „S1-c“ 26 an den ersten Server 2 weitergeleitet. Sollte der erste Server 2 nicht antworten, weil das Hardware-Sicherheitsmodul 5 des ersten Servers unbrauchbar geworden ist, ist der Client 1 bereits in Besitz des Reservezertifikats „S2-c“ 27 des zweiten Servers 3 und kann umgehend eine zweite Anfrage an den zweiten Server 3 richten und mit diesem zweiten Server 3 eine geschützte Kommunikation durchführen. Der Client 1 kann bei Bedarf auch eine gezielte Anfrage an den ersten Server 2 oder an den zweiten Server 3 richten, dessen Hauptzertifikat 26 bzw. Reservezertifikat 27 dem Client 1 vorliegen und bekannt sind. Die jeweiligen Netzwerk-Adressen des ersten Servers 2 und des zweiten Servers 3 können und sollten vorab in dem Client 1 hinterlegt und abrufbar gespeichert sein. The first server 2 and the second server 3 are part of a common server application 29 Optionally on the first server 2 or on the second server 3 can be executed. One of a client application 30 triggered request from the client 1 to the server application 29 is over the network 4 to a central input device 31 directed, the central input device 31 with the first server 2 and with the second server 3 and may be, for example, a firewall or a load balancer. The request of the client 1 first with the main certificate "S1-c" 26 to the first server 2 forwarded. Should be the first server 2 do not answer because the hardware security module 5 the first server has become unusable, is the client 1 already in possession of the reserve certificate "S2-c" 27 the second server 3 and can immediately make a second request to the second server 3 and align with this second server 3 perform a protected communication. The client 1 If necessary, a specific request to the first server 2 or to the second server 3 its main certificate 26 or reserve certificate 27 the client 1 are present and known. The respective network addresses of the first server 2 and the second server 3 can and should advance in the client 1 stored and retrievable stored.

Durch die Hinterlegung des privaten Schlüssels des Clients 1 in dessen Hardware-Sicherheitsmodul 20 kann sich nicht nur der Client 1 gegenüber den beiden Servers 2, 3 authentifizieren, sondern durch die Hinterlegung des Clientzertifikats 28 auf den beiden Servern 2, 3 können diese jeweils dem Client 1 vertrauen und dessen Anfrage autorisieren. By depositing the private key of the client 1 in its hardware security module 20 not just the client 1 opposite the two servers 2 . 3 but by depositing the client certificate 28 on the two servers 2 . 3 These can each be the client 1 trust and authorize its request.

Claims (22)

Verfahren zur Herstellung einer Ausfallsicherung in einem Netzwerk umfassend einen Client (1), einen ersten Server (2) und einen zweiten Server (3), wobei das Verfahren mindestens die folgenden Schritte umfasst: Einmalige Übermittlung eines Hauptzertifikats (8, 26), das dem ersten Server (2) zugeordnet ist, und mindestens eines Reservezertifikats (9, 27), das dem zweiten Server (3) zugeordnet ist, an den Client (1), und Stellung einer Anfrage des Clients (1) an den ersten Server (2), wobei nach erfolgreicher Anfrage des Clients (1) an den ersten Server (2) sich der erste Server (2) gegenüber dem Client (1) als Inhaber des Hauptzertifikats (8, 26) authentifiziert, und wobei nach nicht erfolgreicher Anfrage des ersten Servers (2) der Client (1) eine Anfrage an den zweiten Server (3) stellt und der zweite Server (3) sich gegenüber dem Client (1) als Inhaber des Reservezertifikats (9, 27) authentifiziert. Method for establishing a failover in a network comprising a client ( 1 ) a first server ( 2 ) and a second server ( 3 ), the process comprising at least the following steps: one-time transmission of a main certificate ( 8th . 26 ), which is the first server ( 2 ) and at least one reserve certificate ( 9 . 27 ), which is the second server ( 3 ) is assigned to the client ( 1 ), and making a request from the client ( 1 ) to the first server ( 2 ), after successfully requesting the client ( 1 ) to the first server ( 2 ) the first server ( 2 ) to the client ( 1 ) as holder of the main certificate ( 8th . 26 ) and where after unsuccessful request of the first server ( 2 ) the client ( 1 ) a request to the second server ( 3 ) and the second server ( 3 ) to the client ( 1 ) as holder of the reserve certificate ( 9 . 27 ) authenticated. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass der erste Server (2) und/oder der zweite Server (3) jeweils ein Hardware-Sicherheitsmodul (5, 6) enthält, in dem ein dem Hauptzertifikat (8, 26) bzw. ein dem Reservezertifikat (9, 27) zugeordneter privater Schlüssel des ersten bzw. des zweiten Servers (2, 3) nicht auslesefähig gespeichert ist. Method according to claim 1, characterized in that the first server ( 2 ) and / or the second server ( 3 ) each have a hardware security module ( 5 . 6 ), in which a main certificate ( 8th . 26 ) or the reserve certificate ( 9 . 27 ) associated private key of the first and the second server ( 2 . 3 ) is not stored readable. Verfahren nach Anspruch 1 oder Anspruch 2, dadurch gekennzeichnet, dass der Client (1) einen zugriffsgeschützten Speicher (7, 23) aufweist, in welchem das Hauptzertifikat (8, 26) und das Reservezertifikat (9, 27) gespeichert sind. Method according to claim 1 or claim 2, characterized in that the client ( 1 ) an access-protected memory ( 7 . 23 ), in which the main certificate ( 8th . 26 ) and the reserve certificate ( 9 . 27 ) are stored. Verfahren nach Anspruch 1 oder Anspruch 2, dadurch gekennzeichnet, dass der Client (1) einen nur einmal beschreibbaren Speicher (7, 23) aufweist, in welchem das Hauptzertifikat (8, 26) und das Reservezertifikat (9, 27) gespeichert sind. Method according to claim 1 or claim 2, characterized in that the client ( 1 ) a memory that can only be written once ( 7 . 23 ), in which the main certificate ( 8th . 26 ) and the reserve certificate ( 9 . 27 ) are stored. Verfahren nach Anspruch 1 oder Anspruch 2, dadurch gekennzeichnet, dass der Client (1) einen nicht beschreibbaren Speicher (7, 23) aufweist, in welchem das Hauptzertifikat (8, 26) und das Reservezertifikat (9, 27) gespeichert sind. Method according to claim 1 or claim 2, characterized in that the client ( 1 ) a non-writable memory ( 7 . 23 ), in which the main certificate ( 8th . 26 ) and the reserve certificate ( 9 . 27 ) are stored. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der Client (1) ein Hardware-Sicherheitsmodul (20) aufweist, in dem ein einem Clientzertifikat (28) zugeordneter privater Schlüssel des Clients (1) nicht auslesefähig gespeichert ist. Method according to one of the preceding claims, characterized in that the client ( 1 ) a hardware security module ( 20 ), in which a client certificate ( 28 ) associated private key of the client ( 1 ) is not stored readable. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass nach erfolgreicher Authentifizierung gegenüber dem Client (1) durch den ersten Server (2) beziehungsweise den zweiten Server (3) eine gesicherte Verbindung zwischen dem Client (1) und dem ersten Server (2) beziehungsweise dem zweiten Server (3) zur Übertragung von Nutzdaten aufgebaut wird. Method according to one of the preceding claims, characterized in that after successful authentication to the client ( 1 ) through the first server ( 2 ) or the second server ( 3 ) a secure connection between the client ( 1 ) and the first server ( 2 ) or the second server ( 3 ) is constructed for the transmission of user data. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Übermittlung des Hauptzertifikats (8, 26) und/oder des mindestens einen Reservezertifikats (9, 27) vor einem Anschluss des Clients (1) an das Netzwerk (4) erfolgt. Method according to one of the preceding claims, characterized in that the transmission of the main certificate ( 8th . 26 ) and / or the at least one reserve certificate ( 9 . 27 ) before a connection of the client ( 1 ) to the network ( 4 ) he follows. Verfahren nach einem der vorhergehenden Ansprüche 1 bis 7, dadurch gekennzeichnet, dass die Übermittlung des Reservezertifikats (9, 27) mindestens die folgenden Schritte umfasst: – Stellung einer Anfrage des Clients (1) an den ersten Server (2), – Authentifizierung des ersten Servers (2) als Inhaber des Hauptzertifikats (8, 26) gegenüber dem Client (1), und – Übermittlung mindestens eines Reservezertifikats (9, 27) vom ersten Server (2) an den Client (1). Method according to one of the preceding claims 1 to 7, characterized in that the transmission of the reserve certificate ( 9 . 27 ) comprises at least the following steps: - making a request from the client ( 1 ) to the first server ( 2 ), - authentication of the first server ( 2 ) as holder of the main certificate ( 8th . 26 ) to the client ( 1 ), and - transmission of at least one reserve certificate ( 9 . 27 ) from the first server ( 2 ) to the client ( 1 ). Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der erste Server (1) dem zweiten Server (3) ein Reservezertifikat (9, 27) ausstellt. Method according to one of the preceding claims, characterized in that the first server ( 1 ) the second server ( 3 ) a reserve certificate ( 9 . 27 ). Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Verfahren ferner die folgenden Schritte umfasst: – Einmalige Übermittlung eines Clientzertifikats (28) an den ersten Server (2) und/oder den zweiten Server (3), – nach erfolgreicher Anfrage des Clients (1) an den ersten bzw. an den zweiten Server (2, 3) Authentifizierung des Clients (1) gegenüber dem ersten Server (2) bzw. dem zweiten Server (3) als Inhaber des Clientzertifikats (28). Method according to one of the preceding claims, characterized in that the method further comprises the following steps: - One-time transmission of a client certificate ( 28 ) to the first server ( 2 ) and / or the second server ( 3 ), - after successful request of the client ( 1 ) to the first or the second server ( 2 . 3 ) Authentication of the client ( 1 ) opposite the first server ( 2 ) or the second server ( 3 ) as the owner of the client certificate ( 28 ). Verfahren nach Anspruch 8, dadurch gekennzeichnet, dass dem Client (1) das Clientzertifikat (28) von einem Server (24) aus einer Public-Key-Infrastruktur ausgestellt wird. Method according to claim 8, characterized in that the client ( 1 ) the client certificate ( 28 ) from a server ( 24 ) is issued from a public-key infrastructure. Verfahren nach Anspruch 8, dadurch gekennzeichnet, dass dem Client (1) das Clientzertifikat (28) durch den ersten Server (2) ausgestellt wird. Method according to claim 8, characterized in that the client ( 1 ) the client certificate ( 28 ) through the first server ( 2 ) is issued. Verfahren nach Anspruch 10, dadurch gekennzeichnet, dass dem Client (1) das Clientzertifikat (28) durch den ersten Server (2) nach einer Authentifizierung des ersten Servers (2) gegenüber dem Client (1) ausgestellt wird. Method according to claim 10, characterized in that the client ( 1 ) the client certificate ( 28 ) through the first server ( 2 ) after authentication of the first server ( 2 ) to the client ( 1 ) is issued. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass nach erfolgreicher Authentifizierung des zweiten Servers (3) gegenüber dem Client (1) mindestens ein Reservezertifikat von mindestens einem weiteren Server an den Client (1) übertragen wird. Method according to one of the preceding claims, characterized in that after successful authentication of the second server ( 3 ) to the client ( 1 ) at least one backup certificate from at least one other server to the client ( 1 ) is transmitted. Verfahren nach Anspruch 12, dadurch gekennzeichnet, dass im Falle des Ausfalls des ersten Servers (2) und des zweiten Servers (3) iterativ vom Client (1) auf weitere Server zugegriffen wird, nachdem von diesen Reservezertifikate vertrauenswürdig zur Verfügung gestellt wurden. A method according to claim 12, characterized in that in case of failure of the first Servers ( 2 ) and the second server ( 3 iteratively from the client ( 1 ) accessing additional servers after being trusted by these backup certificates. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass im Client (1), im ersten Server (2), im zweiten Server (3) und/oder in mindestens einem weiteren Server (4) die zur Authentifizierung als Inhaber des Hauptzertifikats (8, 26) und/oder Reservezertifikats (9, 27) notwendigen Daten in einem geschützten Speicher (21, 22, 23) nicht auslesefähig gespeichert sind. Method according to one of the preceding claims, characterized in that in the client ( 1 ), in the first server ( 2 ), in the second server ( 3 ) and / or in at least one other server ( 4 ) used for authentication as holder of the main certificate ( 8th . 26 ) and / or reserve certificate ( 9 . 27 ) in a protected memory ( 21 . 22 . 23 ) are not stored readable. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der Schritt der Authentifizierung die Verwendung eines dem Zertifikat (8, 26, 9, 27, 28) zugeordneten privaten Schlüssels durch den Inhaber (2, 3, 1) des Zertifikats (8, 26, 9, 27, 28) sowie einen Überprüfungsschritt mittels eines dem betreffenden Zertifikat (8, 26, 9, 27, 28) zugehörigen öffentlichen Schlüssels umfasst. Method according to one of the preceding claims, characterized in that the step of authentication involves the use of a certificate ( 8th . 26 . 9 . 27 . 28 ) associated private key by the owner ( 2 . 3 . 1 ) of the certificate ( 8th . 26 . 9 . 27 . 28 ) and a verification step using a certificate ( 8th . 26 . 9 . 27 . 28 ) associated public key. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Zertifikate (8, 26, 9, 27, 28) Public-Key-Zertifikate nach dem Standard X.509 sind. Method according to one of the preceding claims, characterized in that the certificates ( 8th . 26 . 9 . 27 . 28 ) Are public key certificates according to the standard X.509. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Authentifizierung und die Sicherung von Verbindungen durch das TLS-Protokoll oder ein vergleichbares Protokoll wie beispielsweise DTLS, IPSec oder CMS implementiert ist. Method according to one of the preceding claims, characterized in that the authentication and the securing of connections by the TLS protocol or a similar protocol such as DTLS, IPSec or CMS is implemented. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der Client (1) als eine intelligente Gerätekomponente eines Internet der Dinge (Internet of Things) ausgebildet ist und der erste sowie der zweite Server (2, 3) als Gegenstellen für den Client (1) ausgebildet sind, mit denen der Client (1) kommunizieren kann. Method according to one of the preceding claims, characterized in that the client ( 1 ) is designed as an intelligent device component of an Internet of Things and the first and the second server ( 2 . 3 ) as remote sites for the client ( 1 ) are formed, with which the client ( 1 ) can communicate. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der Client (1) als Smart Meter Gateway eines intelligenten Geräts zur Erfassung eines Energie- oder Rohstoffverbrauchs ausgebildet ist und der erste sowie der zweite Server (2, 3) als zugeordneter Messstellen-Server ausgebildet sind. Method according to one of the preceding claims, characterized in that the client ( 1 ) is designed as a smart meter gateway of an intelligent device for detecting an energy or raw material consumption and the first and the second server ( 2 . 3 ) are designed as assigned measuring point server.
DE102016112278.5A 2016-07-05 2016-07-05 Method for establishing a failover in a network Withdrawn DE102016112278A1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102016112278.5A DE102016112278A1 (en) 2016-07-05 2016-07-05 Method for establishing a failover in a network
EP17179815.0A EP3267619B1 (en) 2016-07-05 2017-07-05 Method for producing fault prevention in a framework

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102016112278.5A DE102016112278A1 (en) 2016-07-05 2016-07-05 Method for establishing a failover in a network

Publications (1)

Publication Number Publication Date
DE102016112278A1 true DE102016112278A1 (en) 2018-01-11

Family

ID=59313015

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102016112278.5A Withdrawn DE102016112278A1 (en) 2016-07-05 2016-07-05 Method for establishing a failover in a network

Country Status (2)

Country Link
EP (1) EP3267619B1 (en)
DE (1) DE102016112278A1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3955510B1 (en) * 2020-08-14 2023-04-19 Deutsche Telekom AG Communication system with multi-stage security concept

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160191253A1 (en) * 2014-12-31 2016-06-30 Schneider Electric Usa Inc. Systems and methods of industrial network certificate recovery

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100970211B1 (en) * 2008-06-09 2010-07-16 주식회사 케이티 Method and Apparatus for Monitoring Service Status Via Special Message Watcher in Authentication Service System
US8627063B2 (en) * 2009-12-23 2014-01-07 Citrix Systems, Inc. Systems and methods for flash crowd control and batching OCSP requests via online certificate status protocol
CA2877451C (en) * 2012-06-22 2020-11-10 Ologn Technologies Ag Systems, methods and apparatuses for securing root certificates
US10552827B2 (en) * 2014-09-02 2020-02-04 Google Llc Dynamic digital certificate updating

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160191253A1 (en) * 2014-12-31 2016-06-30 Schneider Electric Usa Inc. Systems and methods of industrial network certificate recovery

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
Technische Richtlinie BSI TR-03109-1, „Anforderungen an die Interoperabilität der Kommunikationseinheit eines Intelligenten Messsystems", Bundesamt für Sicherheit in der Informationstechnik BSI, Version 1.0 v. 18.3.2013, Seiten 1 bis 146 *
Technische Richtlinie BSI TR-03109-4, Smart Metering PKI – Public Key Infrastruktur für Smart Meter Gateways, Bundesamt für Sicherheit in der Informationstechnik BSI, Version 1.1.1 v. 18.5.2015, Seiten 1 bis 61
Technische Richtlinie BSI TR-03109-4, Smart Metering PKI – Public Key Infrastruktur für Smart Meter Gateways, Bundesamt für Sicherheit in der Informationstechnik BSI, Version 1.1.1 v. 18.5.2015, Seiten 1 bis 61 *

Also Published As

Publication number Publication date
EP3267619A1 (en) 2018-01-10
EP3267619B1 (en) 2019-05-22

Similar Documents

Publication Publication Date Title
DE102016224537B4 (en) Master Block Chain
EP3125492A1 (en) Method and system for generating a secure communication channel for terminals
DE102017214359A1 (en) A method for safely replacing a first manufacturer's certificate already placed in a device
EP3422628B1 (en) Method, safety device and safety system
DE102016115193A1 (en) Method for secure data storage in a computer network
DE102014204252A1 (en) Security system with access control
EP3648430B1 (en) Hardware security module
DE102017121648B3 (en) METHOD FOR REGISTERING A USER AT A TERMINAL DEVICE
EP3267619B1 (en) Method for producing fault prevention in a framework
DE102017212474A1 (en) Method and communication system for checking connection parameters of a cryptographically protected communication connection during connection establishment
DE102017006200A1 (en) Method, hardware and system for dynamic data transmission to a blockchain computer network for storing personal data around this part again block by block as the basis for end to end encryption used to dynamically update the data collection process via the data transmission module in real time from sensor units. The block modules on the blockchain database system are infinitely expandable.
DE102018102608A1 (en) Method for user management of a field device
DE102012203354B4 (en) Process for personalizing a smart meter or smart meter gateway security module
EP3627755A1 (en) Method for secure communication in a communication network having a plurality of units with different security levels
DE102022000857B3 (en) Procedure for the secure identification of a person by a verification authority
EP4270863B1 (en) Secure reconstruction of private keys
EP3906653B1 (en) Method for issuing a cryptographically protected authenticity certificate for a user
DE102017012249A1 (en) Mobile terminal and method for authenticating a user to a terminal by means of a mobile terminal
EP4092958B1 (en) Issuing of a digital verifiable credential
DE102012203356B4 (en) Method for initializing a memory area associated with a smart meter
EP3881486B1 (en) Method for providing proof of origin for a digital key pair
DE102022125813A1 (en) AUTHENTICATION OF NODES IN A DISTRIBUTED NETWORK
EP3939226A1 (en) Method for authenticating a computer system
DE102015001817B4 (en) Methods, devices and system for online data backup
DE102012209123B4 (en) Device, system and method for remote seizure and establishment of secrets in machinery to machine communication

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0009300000

Ipc: H04L0009320000

R081 Change of applicant/patentee

Owner name: MTG AG, DE

Free format text: FORMER OWNER: MEDIA TRANSFER AG, 64293 DARMSTADT, DE

R082 Change of representative

Representative=s name: HABERMANN INTELLECTUAL PROPERTY PARTNERSCHAFT , DE

Representative=s name: PATENTANWAELTE KATSCHER HABERMANN, DE

R120 Application withdrawn or ip right abandoned